Salut colegi! Astăzi aș dori să discut un subiect foarte relevant pentru mulți administratori Check Point: „Optimizarea CPU și RAM”. Sunt adesea cazuri când gateway-ul și/sau serverul de management consumă în mod neașteptat o mulțime de aceste resurse și aș dori să înțeleg unde „curg” și, dacă este posibil, să le folosesc mai inteligent.
1. Analiza
Pentru a analiza încărcarea procesorului, este util să folosiți următoarele comenzi, care sunt introduse în modul expert:
top arată toate procesele, cantitatea de resurse CPU și RAM consumate ca procent, timpul de funcționare, prioritatea procesului și in timp realи
lista cpwd_admin Check Point WatchDog Daemon, care arată toate modulele aplicației, PID-ul lor, starea și numărul de porniri
cpstat -f cpu os Utilizarea procesorului, numărul acestora și distribuția timpului procesorului ca procent
cpstat -f memorie os utilizarea RAM virtuală, câtă memorie RAM activă, liberă și multe altele
Remarca corectă este că toate comenzile cpstat pot fi vizualizate folosind utilitarul cpview. Pentru a face acest lucru, trebuie doar să introduceți comanda cpview din orice mod din sesiunea SSH.
ps auxwf o listă lungă a tuturor proceselor, ID-ul lor, memoria virtuală ocupată și memoria RAM, CPU
Alte variante de comandă:
ps-aF va arăta cel mai costisitor proces
fw ctl afinitate -l -a distribuția de nuclee pentru diferite instanțe de firewall, adică tehnologia CoreXL
fw ctl pstat Analiza RAM și indicatori generali de conectare, cookie-uri, NAT
free -m tampon RAM
Echipa merită o atenție deosebită netsat și variațiile sale. De exemplu, netstat -i poate ajuta la rezolvarea problemei monitorizării clipboard-urilor. Parametrul, RX dropped packets (RX-DRP) din ieșirea acestei comenzi, de regulă, crește pe cont propriu din cauza scăderii protocoalelor nelegitime (IPv6, etichete VLAN Bad / Neintented și altele). Cu toate acestea, dacă picăturile apar din alt motiv, atunci ar trebui să utilizați acest lucru pentru a începe să investigheze și să înțeleagă de ce o anumită interfață de rețea elimină pachete. După ce am aflat motivul, funcționarea aplicației poate fi și ea optimizată.
Dacă lama de monitorizare este activată, puteți vizualiza aceste valori grafic în SmartConsole făcând clic pe obiect și selectând „Informații despre dispozitiv și licență”.
Nu este recomandat să porniți lama de monitorizare în mod permanent, dar pentru o zi pentru testare este foarte posibil.
Mai mult, puteți adăuga mai mulți parametri pentru monitorizare, unul dintre ei fiind foarte util - Bytes Throughput (debitul aplicației).
Dacă există un alt sistem de monitorizare, de exemplu, gratuit , bazat pe SNMP, este potrivit și pentru identificarea acestor probleme.
2. Scurgeri de memorie RAM în timp
Adesea apare întrebarea că, în timp, gateway-ul sau serverul de management începe să consume din ce în ce mai multă RAM. Vreau să vă asigur: aceasta este o poveste normală pentru sistemele de tip Linux.
Privind rezultatul comenzilor free -m и cpstat -f memorie os în aplicație din modul expert, puteți calcula și vizualiza toți parametrii legați de RAM.
Pe baza memoriei disponibile pe gateway în acest moment Memorie libera + Memorie tampon + Memorie în cache = +-1.5 GB, de obicei.
După cum spune CP, de-a lungul timpului serverul de gateway/management optimizează și utilizează din ce în ce mai multă memorie, ajungând la aproximativ 80% de utilizare și se oprește. Puteți reporni dispozitivul, iar apoi indicatorul va fi resetat. 1.5 GB de memorie RAM liberă este exact suficient pentru ca gateway-ul să îndeplinească toate sarcinile, iar managementul rareori atinge astfel de valori de prag.
De asemenea, ieșirile comenzilor menționate vor arăta cât aveți Memorie puțină (RAM în spațiul utilizatorului) și Memorie ridicată (RAM în spațiul kernelului) utilizat.
Procesele nucleului (inclusiv modulele active, cum ar fi modulele kernel-ului Check Point) folosesc doar memorie scăzută. Cu toate acestea, procesele utilizatorului pot folosi atât memoria Low cât și High. Mai mult, memoria scăzută este aproximativ egală cu Memorie totala.
Ar trebui să vă faceți griji numai dacă există erori în jurnalele „Modulele repornesc sau procesele sunt oprite pentru a recupera memoria din cauza OOM (Out of memory)”. Apoi ar trebui să reporniți gateway-ul și să contactați asistența dacă repornirea nu ajută.
O descriere completă poate fi găsită în и .
3. Optimizare
Mai jos sunt întrebări și răspunsuri despre optimizarea CPU și RAM. Ar trebui să le răspunzi sincer și să asculți recomandările.
3.1. Aplicația a fost aleasă corect? A existat un proiect pilot?
În ciuda dimensionării adecvate, rețeaua ar putea pur și simplu să crească, iar acest echipament pur și simplu nu poate face față sarcinii. A doua opțiune este dacă nu a existat nici o dimensionare ca atare.
3.2. Este activată inspecția HTTPS? Dacă da, tehnologia este configurată conform celor mai bune practici?
A se referi la , dacă sunteți clientul nostru, sau pentru .
Ordinea regulilor în politica de inspecție HTTPS joacă un rol important în optimizarea deschiderii site-urilor HTTPS.
Ordinea recomandată a regulilor:
- Ocoliți regulile cu categorii/URL-uri
- Inspectați regulile cu categorii/URL-uri
- Verificați regulile pentru toate celelalte categorii
Prin analogie cu politica de firewall, Check Point caută o potrivire după pachete de sus în jos, deci este mai bine să plasați regulile de ocolire în partea de sus, deoarece gateway-ul nu va irosi resurse pentru a rula toate regulile dacă acest pachet are nevoie. a fi trecut.
3.3 Sunt utilizate obiectele din domeniul de adrese?
Obiectele cu un interval de adrese, de exemplu, rețeaua 192.168.0.0-192.168.5.0, ocupă mult mai multă RAM decât 5 obiecte de rețea. În general, este considerată o bună practică eliminarea obiectelor neutilizate din SmartConsole, deoarece de fiecare dată când se instalează o politică, gateway-ul și serverul de management cheltuiesc resurse și, cel mai important, timp, verificând și aplicând politica.
3.4. Cum este configurată politica de prevenire a amenințărilor?
În primul rând, Check Point recomandă plasarea IPS într-un profil separat și crearea unor reguli separate pentru această lamă.
De exemplu, un administrator consideră că segmentul DMZ ar trebui protejat numai folosind IPS. Prin urmare, pentru a preveni irosirea gateway-ului de resurse pe procesarea pachetelor de către alte blade, este necesar să se creeze o regulă special pentru acest segment cu un profil în care este activat doar IPS.
În ceea ce privește configurarea profilurilor, se recomandă configurarea acestuia conform celor mai bune practici în acest sens (paginile 17-20).
3.5. În setările IPS, câte semnături există în modul Detect?
Se recomandă să studiați cu atenție semnăturile în sensul că cele neutilizate ar trebui să fie dezactivate (de exemplu, semnăturile pentru operarea produselor Adobe necesită multă putere de calcul, iar dacă clientul nu are astfel de produse, este logic să dezactivați semnăturile). Apoi, puneți Prevent în loc de Detect acolo unde este posibil, deoarece gateway-ul cheltuiește resurse procesând întreaga conexiune în modul Detect; în modul Prevent, renunță imediat la conexiune și nu irosește resurse pentru procesarea completă a pachetului.
3.6. Ce fișiere sunt procesate de emularea amenințărilor, extracția amenințărilor, bladele antivirus?
Nu are sens să emulați și să analizați fișierele cu extensii pe care utilizatorii dvs. nu le descarcă sau pe care le considerați inutile în rețeaua dvs. (de exemplu, fișierele bat, exe pot fi blocate cu ușurință folosind blade Conștientizare conținut la nivel de firewall, deci mai puțin gateway). resursele vor fi cheltuite). Mai mult, în setările Threat Emulation poți selecta Environment (sistem de operare) pentru a emula amenințările din sandbox și nici instalarea Environment Windows 7 când toți utilizatorii lucrează cu versiunea 10 nu are sens.
3.7. Sunt firewall și regulile la nivel de aplicație aranjate în conformitate cu cele mai bune practici?
Dacă o regulă are o mulțime de accesări (potriviri), atunci se recomandă să le puneți în partea de sus, iar regulile cu un număr mic de accesări - în partea de jos. Principalul lucru este să vă asigurați că nu se intersectează sau se suprapun. Arhitectura recomandată a politicii de firewall:
Explicație:
Primele reguli - regulile cu cel mai mare număr de meciuri sunt plasate aici
Noise Rule - o regulă pentru eliminarea traficului fals, cum ar fi NetBIOS
Regulă Stealth - interzice apelurile către gateway-uri și gestionări către toate, cu excepția acelor surse care au fost specificate în regulile de autentificare la gateway
Regulile de curățare, ultima și eliminare sunt de obicei combinate într-o singură regulă pentru a interzice tot ceea ce nu era permis anterior
Datele de bune practici sunt descrise în .
3.8. Ce setari au serviciile create de administratori?
De exemplu, un anumit serviciu TCP este creat pe un anumit port și este logic să debifați „Potriviți pentru orice” din Setările avansate ale serviciului. În acest caz, acest serviciu se va încadra în mod specific sub regula în care apare și nu va participa la regulile în care Oricare este listat în coloana Servicii.
Vorbind despre servicii, merită menționat că uneori este necesară ajustarea timeout-urilor. Această setare vă va permite să utilizați cu înțelepciune resursele gateway-ului, pentru a nu păstra timp suplimentar pentru sesiunile TCP/UDP ale protocoalelor care nu au nevoie de un timeout mare. De exemplu, în captura de ecran de mai jos, am modificat timpul de expirare a serviciului domain-udp de la 40 de secunde la 30 de secunde.
3.9. Se folosește SecureXL și care este procentul de accelerare?
Puteți verifica calitatea SecureXL folosind comenzile de bază în modul expert pe gateway fwaccel stat и fw accel stats -s. Apoi, trebuie să vă dați seama ce fel de trafic este accelerat și ce alte șabloane pot fi create.
Șabloanele de eliminare nu sunt activate în mod prestabilit; activarea acestora va aduce beneficii SecureXL. Pentru a face acest lucru, accesați setările gateway-ului și fila Optimizări:
De asemenea, atunci când lucrați cu un cluster pentru a optimiza procesorul, puteți dezactiva sincronizarea serviciilor necritice, cum ar fi UDP DNS, ICMP și altele. Pentru a face acest lucru, accesați setările serviciului → Avansat → Sincronizare conexiuni de Sincronizare de stat este activată pe cluster.
Toate cele mai bune practici sunt descrise în .
3.10. Cum se utilizează CoreXl?
Tehnologia CoreXL, care permite utilizarea mai multor procesoare pentru instanțe firewall (module firewall), ajută cu siguranță la optimizarea funcționării dispozitivului. Echipa mai întâi fw ctl afinitate -l -a va afișa instanțele de firewall utilizate și procesoarele alocate SND-ului (un modul care distribuie traficul către entitățile firewall). Dacă nu sunt folosite toate procesoarele, acestea pot fi adăugate cu comanda cpconfig la poarta de acces.
De asemenea, o poveste bună este de pus pentru a activa Multi-Queue. Multi-Queue rezolvă problema atunci când procesorul cu SND este folosit la multe procente, iar instanțe de firewall de pe alte procesoare sunt inactive. Apoi, SND ar avea capacitatea de a crea multe cozi pentru o singură NIC și de a stabili priorități diferite pentru trafic diferit la nivel de kernel. În consecință, nucleele CPU vor fi utilizate mai inteligent. Metodele sunt descrise și în .
În concluzie, aș dori să spun că acestea nu sunt toate cele mai bune practici pentru optimizarea Check Point, dar sunt cele mai populare. Dacă doriți să comandați un audit al politicii dvs. de securitate sau să rezolvați o problemă legată de Check Point, vă rugăm să contactați [e-mail protejat].
Vă mulțumim pentru atenție!
Sursa: www.habr.com